Google beloont hackers met 310.000 euro voor beveiliging

In het kader van Googles beloningsprogramma om beveiligingslekken te vinden, zijn er 1100 bugs en kwetsbaarheden bij de software en diensten van het bedrijf gevonden. Google heeft daarvoor meer dan 310.000 euro uitgeloofd aan de hackers.

googleOngeveer 200 hackers zijn al iets meer dan een jaar bezig met het vinden van beveiligingslekken en bugs op de websites en diensten van Google. In totaal zijn er al 1100 beveiligingsproblemen gevonden op Google.com, Youtube, Orkut, Blogger en andere diensten, meldt Google. Ongeveer de helft van die lekken werd gevonden in software van bedrijven die Google heeft overgenomen. 730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.

Google startte het programma naar aanleiding van het grote succes van hun Chromium-beloningsprogramma, en hun ervaring met dergelijke projecten. De ontwikkelaars concluderen dat: "Veel meer mensen naar beveiligingslekken zoeken door bug bounty-programma's."

Door Adrian Buyssens

Feedback • 10-02-2012 17:12 66

10-02-2012 • 17:12

66

Lees meer

Google gaat veiligheidspatches voor opensource-software belonen
Google gaat veiligheidspatches voor opensource-software belonen Nieuws van 10 oktober 2013
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken Nieuws van 8 oktober 2013
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1 Nieuws van 20 juni 2013
'Chrome werkt niet langer op 'verouderd' Red Hat Enterprise Linux 6'
'Chrome werkt niet langer op 'verouderd' Red Hat Enterprise Linux 6' Nieuws van 11 februari 2013
Google verhoogt beloning voor ontdekken beveiligingsproblemen
Google verhoogt beloning voor ontdekken beveiligingsproblemen Nieuws van 24 april 2012
Google looft 1 miljoen dollar uit voor Chrome-exploits
Google looft 1 miljoen dollar uit voor Chrome-exploits Nieuws van 28 februari 2012
Microsoft opent privacyaanval op Google
Microsoft opent privacyaanval op Google Nieuws van 21 februari 2012
Google omzeilde do-not-track-bescherming Safari
Google omzeilde do-not-track-bescherming Safari Nieuws van 17 februari 2012
Meer producten en artikelen
Websites en community's Privacy Google Beveiliging Bugs

Reacties (66)

-Moderatie-faq
66
64
38
3
0
2
Wijzig sortering

Sorteer op:

Weergave:
Malarky 11 februari 2012 01:20
Het is mijn raadsel waarom mensen zeggen dat deze opzet van Google 'ook wel gevaarlijk is'. Ja, natuurlijk er zoeken ook hackers naar lekken bij Google die een gevonden lek wellicht niet melden. Maar voordat Google beloningen uitdeelde konden en zullen waarschijnlijk diezelfde hackers ook naar de lekken gezocht hebben. Alsof al deze hackers de source code van alle Google diensten krijgen opgestuurd, waarin ze dan eens fijn kunnen neuzen. Nee ze moeten het in principe met dezelfde informatie doen (vanuit de kant van Google) als Jan met de Pet.

Nu heeft een hacker die een lek bij Google vindt een extra goede reden om hem te melden, in plaats van hem voor zichzelf te houden.

Stellen dat 424 euro weinig is, is natuurlijk erg kort de bocht. Er zitten ook vrij onbenullige dingen tussen, meer schoonheidsfouten dan ernstige lekken. En inderdaad ik zie op de blog van Google ook mensen onder "Sustained Support" staan die zelfs bugs gevonden hebben op www.google.com zelf. Dat levert vast wat meer op. Aan de andere kant zullen ook vele hackers uren kwijt zijn geweest aan zoeken op www.google.com, die niets vonden. Maar is dat zo erg/vreemd? Stel je voor dat anno 2012 elke willekeurige slimme jongen met de computer zo nog een lek uit www.google.com plukte, dan zou die site sowieso nooit de uptime hebben gehad die het nu heeft. Dan was het een hele instabiele site geweest.

Het staat iedereen vrij zijn kans te wagen om wat lekken te vinden in de producten van Google? Sommigen zullen moeten concluderen na heel wat uurtjes spelen dat de fouten die er nog zijn in Google helaas niet door hen ontdekt gaan worden.

edit: zie zelfs dat Google de vaste reporters op de hoogte houdt van de te ontvangen gelden voor het melden van bepaalde bugs. Dus je weet als hacker waar je, geheel vrijwillig, naar zoekt en wat je daar voor krijgt als je het vind. Heel eerlijk systeem toch?

[Reactie gewijzigd door Malarky op 24 juli 2024 13:28]

Appel105 10 februari 2012 17:17
Echt een super actie is dit zeg, zo ben je echt slim bezig

Waarschijnlijk is dit veel goedkoper dan zelf mensen inhuren die gaan lopen zoeken. Het heeft ook wel nadelen (aanmoedigen van zoeken), maar echt een slimme zet van google!
Verwijderd @Appel10510 februari 2012 18:05
Echt een super actie is dit zeg, zo ben je echt slim bezig

Waarschijnlijk is dit veel goedkoper dan zelf mensen inhuren die gaan lopen zoeken. Het heeft ook wel nadelen (aanmoedigen van zoeken), maar echt een slimme zet van google!
Voor 310.000 euro/jaar kan je precies 1.5 software engineer in huren die waarschijnlijk meer bugs kunnen zoeken dan het bovental.

Dit heeft ook niets te maken met het wel of niet inhuren van mensen of de kosten daarvan, maar er proberen voor te zorgen dat mensen de hack bij google melden ipv deze te melden bij andere hackers, of exploit makers, of spammers.

Slim? ja, maar dus niet om kosten te besparen, maar meer om kosten te voorkomen.
Gerco @Verwijderd10 februari 2012 18:28
Die 1,5 engineer gaan echt niet al dus bugs vinden. De reden dat er zoveel gevonden worden is dat er veel verschillende ogen naar kijken. Er gaan voor die 310.000 euro veel meer mensen dan die 1,5 engineer aan het werk en je betaalt alleen diegenen die wat gevonden hebben, ideale situatie als bedrijf.
Paul - K @Appel10510 februari 2012 17:21
Dat is dan ook gelijk het hele idee: dat iedereen massaal gaat zoeken en dat vooraal aangeeft zodat het opgelost wordt. Beter iemand die er geen misbruik van maakt dan dat er straks iets op straat ligt.
HoppyF 10 februari 2012 17:16
730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.

Ieder lek zou toch in aanmerking moeten komen voor een beloning of zie ik dit nu verkeerd??
Haribo112 @HoppyF10 februari 2012 17:19
Niet ieder lek is even ernstig...
HoppyF @Haribo11210 februari 2012 17:30
Dat is juist, maar dan geeft je toch gewoon een kleiner bedrag voor kleine lekken?
ioor @HoppyF10 februari 2012 19:04
daarom staat er waarschijnlijk "gemiddeld" in de text.
telenut @HoppyF10 februari 2012 17:36
als degene die het gevonden is een werknemer is van het bedrijf dat werd overgenomen door google zal die er ook mogen achter fluiten :-)
AugmentoR @HoppyF11 februari 2012 00:19
Het gaat dan ook niet alleen om lekken, maar ook om bugs. Kan me voorstellen dat een bug wordt gerapporteerd, maar dat het door google wordt gezien als interpretatiefout danwel 'feature'...
Daarnaast, als iemand een 404 scanner loslaat op willekeurig welke Google-service dan zal er vast wel wat uitkomen, maar lijkt me sterk dat ze dáár de knip voor trekken.
MicGlou 10 februari 2012 17:38
Beste overheid...

Dat is het eerste wat mij te binnen schiet nadat ik het artikel gelezen had... Ik stem serieus op de politieke partij die met een voorstel komt naar dit model... Niemand die je beter kan vertellen hoe het met je beveiliging zit dan de inbreker zelf. Zoveel kostbare belastingcenten gaan op aan prutsers, halfbakken systemen, €310.000,- is toch spotgoedkoop?

[Reactie gewijzigd door MicGlou op 24 juli 2024 13:28]

The Zep Man
@MicGlou10 februari 2012 18:58
Beste overheid...

Dat is het eerste wat mij te binnen schiet nadat ik het artikel gelezen had... Ik stem serieus op de politieke partij die met een voorstel komt naar dit model... Niemand die je beter kan vertellen hoe het met je beveiliging zit dan de inbreker zelf. Zoveel kostbare belastingcenten gaan op aan prutsers, halfbakken systemen, €310.000,- is toch spotgoedkoop?
Die € 310.000,- is verdeeld over 730 lekken bij Google tegen een gemiddeld bedrag van € 424. Als je € 424 per lek uitgeeft over alle diensten van de Nederlandse overheid, is dat een ernstige aanslag op de schatkist (gekeken naar de grote hoeveelheid diversiteit in brakke websites). Als je het bedrag vastzet op € 310.000 dan zal het nooit interessant zijn om lekken te vinden, aangezien het bedrag dan per lek erg laag zou zijn.

En dan nog: je kan het wel weten dat er lekken zijn, maar dan moeten ze evengoed opgelost worden. Bij Google zijn ze meer afhankelijk van het vertrouwen van de massa ten opzichte van de overheid, waardoor zij meer middelen inzetten om daadwerkelijk (zonder om te komen in bureaucratie en aan/uitbestedingen) de problemen op te lossen.

Dat de overheid overigens minder afhankelijk is van het vertrouwen van de massa is overigens iets dat best wel gek is als je er over nadenkt. Google als bedrijf kan failliet gaan bij een X aantal blunders. Dit is anders bij de overheid, waar de grens van het aantal blunders een stuk hoger ligt voordat actie wordt ondernomen.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 13:28]

ATS @The Zep Man10 februari 2012 19:52
Kwestie van in je contracten met je leveranciers (je denkt toch niet dat die sites in het algemeen gebouwd worden door de overheid) dat de Algemene Nederlandse Lekvergoedingsregeling (scrabblewoord!) van toepassing is, en dat de kosten daarvan worden doorberekend aan de aannemer.
syith @MicGlou10 februari 2012 23:08
Het grote manco van "de overheid" is dat het ontelbaar veel kleine subsytemen gebruikt (om maar niet te spreken van de verschillende systemen die gemeentes gebruiken), van net zoveel verschillende leveranciers. Het aantal lekken zal denk ik een factor 10.000 hoger liggen ;)
trisje @MicGlou11 februari 2012 00:00
ik vraag me af waarom jij niet bij de overheid gaat solliciteren daar hebben ze jou hard nodig om all die brakke producten even bij te werken.
Waarom denken andere ICT er toch altijd dat andere het altijd veel slechter doen dan zij zelf. Eu.. ik bedoel minder goed dan zij zelf.
Over het algemeen zijn die mega projecten uitgegeven aan grote bedrijven met veelal zeer bekwamen mensen.
Allen die systemen bedienen geen handje vol mensen in een bedrijfje, maar een 16 miljoen personen. Dat is net even iets anders dan jou kant en klare thuis servertje met een aantal foto's van de vakantie die uitstekend dienst doet.

ik vind 424 euro echt een habbekrats sommige zijn soms weken bezig om iets te vinden. die beloning had best wat hoger gekund.

[Reactie gewijzigd door trisje op 24 juli 2024 13:28]

stresstak @trisje12 februari 2012 14:35
ik vind 424 euro echt een habbekrats sommige zijn soms weken bezig om iets te vinden. die beloning had best wat hoger gekund.
Het is een gemiddelde. Degene die na weken speuren en hacken een belangrijk lek vond kreeg misschien wel 1000. En als je het te weinig vindt stop je gewoon met zoeken de volgende keer.
topaj 10 februari 2012 17:15
Maakt het inderdaad erg interessant voor white hat hackers om deel aan te nemen.
Echter wordt de kans om een lek te vinden uiteraard steeds kleiner. Dus als je er je brood mee wilt verdienen, kan het nog best eens tegen gaan vallen.
bonus @topaj10 februari 2012 19:22
Als je als hacker (echte hacker he) nou echt een serieuze bug zou vinden...
Zou jij hem dan melden ??? Het is een beetje het idee van als jij als bankrover gevraagd zou worden kraak deze kluis wat voor onmogelijk (puur voorbeeld) wordt geacht en jij weet de oplossing, zou jij het zeggen ? Of wacht je je kans af en leeg deze kluis vervoglens een maand later en ga er vandoor met een veelvoud als de beloning...

Het is goed dat ze het doen hoor, want veel fouten worden er uit gehaald, maar toch knaagt het gevoel van "als nou die ene..." En als je nu gepakt zou zijn dan was het onder het mom van ze vroegen toch of het kon ;)
Morocius @bonus10 februari 2012 19:59
Maar goed op het moment dat er 100 bankrovers worden uitgenodigd om naar de beveiliging van een kluis te kijken. Dan gaan de bankrovers zich ook afvragen of het misschien niet beter is om maar eerlijk te zijn en daar op te cashen in plaats van een andere bankrover met het geld aan de haal te laten gaan.
ThePendulum @bonus11 februari 2012 01:20
Ik zal heel eerlijk zijn, ik ga er liever legaal van door met de beloning dan dat ik de kluis leeg roof, en er hoogstends een maand later niets meer van over is omdat het in het criminele circuit is opgeraakt of ik een paar maanden mag zitten ;)
joentjebe 10 februari 2012 17:16
310.000 is natuurlijk veel geld, maar waarschijnlijk is het veel minder dan de kosten die Google zou hebben als er een lek wordt misbruikt dat niet gemeld is. Aangezien er nu erg veel mensen zoeken naar bugs, en alleen betaald krijgen als ze iets vinden lijkt me dit een ontzettend slimme aanpak voor het vinden van kwetsbaarheden!
ATS @joentjebe10 februari 2012 19:49
Precies. Dit is bijzonder goedkoop voor Google. Voor 3 ton heb je misschien 2 goede testengineers rondlopen. Die hadden samen vast geen 1100 beveiligingsproblemen gevonden in een jaar...
watercoolertje
@joentjebe10 februari 2012 17:27
Een mooie win-win situatie dus ;)
jimbo123 11 februari 2012 09:49
200 man x 50k per jaar salaris = 10 miljoen.

Overige kosten nog niet meegerekend.
Dus google heeft een goede deal lijkt me.
Haas_nl @jimbo12311 februari 2012 14:17
50k per jaar ? Ha ik denk dat er stuk of 190 mensen uit india of China op zitten.
Dus denk max. 5k per jaar.
Jeoh 10 februari 2012 17:12
Dan moet je miljarden kunnen verdienen bij KPN!
Kobus Post @Jeoh10 februari 2012 17:14
Wat zou je dan kunnen verdienen bij de overheid? :)
Covinet @Kobus Post10 februari 2012 17:18
Noem eens wat voorbeelden van beveiligingslekken bij de overheid?

On topic: dit is ook manier van ontwikkelen en kwaliteitsverbetering. Zou in bepaalde gevallen best navolging mogen vinden!
ioor @Covinet10 februari 2012 17:29
digid? en da's echt niet zo lang geleden hoor....
Covinet @ioor10 februari 2012 20:01
Je doelt op DigiNotar? De overheid, in de hoedanigheid van DigiD, nam certificaten af van DigiNotar. Een externe partij dus.

Partij die net zo werkte als KPN blijkbaar:
Ondertussen blijkt uit een onderzoeksrapport van de overheid, dat door de NOS is ingezien, dat het bedrijf Diginotar zelf 'volstrekt onveilig' werkt. Zo stonden er op de computers van het bedrijf geen anti-virusprogramma's en draaide een belangrijke server zonder de juiste updates. Verder gebruikten de medewerkers wachtwoorden die eenvoudig te achterhalen waren.

Bron:
http://www.volkskrant.nl/...-volstrekt-onveilig.dhtml

Overigens zijn de gebruikers van Diginotar niet te benijden. Welke partij heeft de taken overgenomen? Juist, Getronics oftewel KPN....

Bron:
http://webwereld.nl/nieuw...ie-strandt-door-kpn-.html

Nog even on topic ;)

Bedrijven zouden qua beveilingsissues op ICT-gebied wat minder huiverig moeten zijn wat betreft hulp van hackers. In de ogen van vele niet-IT'ers is een hacker per definitie altijd fout.

Edit: typo's

[Reactie gewijzigd door Covinet op 24 juli 2024 13:28]

Blackbird-ce @Covinet10 februari 2012 22:15
nieuws: DigiD binnenkort zes uur plat vanwege verhelpen kwetsbaarheid
Bartjezz @Covinet10 februari 2012 17:20
Er worden niet voor niets ex-gedetineerden ingehuurd door alarm en beveiligingsbedrijven ;)
Wolfos @Bartjezz10 februari 2012 21:35
Nee, soms hebben ze een Excel certificaat :+
yucon187 @Bartjezz11 februari 2012 09:18
ex-gedetineerden bij beveiligingsbedrijven?

bron?

met een strafblad krijg je nieteens de benodigde beveiligingspas, laat staan een baan bij een beveiligingsbedrijf.
amn @yucon18711 februari 2012 10:31
Een baan bij dat bedrijf is wat anders dan ingehuurd worden om beveiligingszwakheden aan te wijzen, waarbij een pas krijgen inderdaad ook nog eens spelbederf of boerenbedrog is. Je kan dus wel om een bron vragen, maar dat heeft natuurlijk geen zin als je er zelf een andere draai aan geeft :D.

Ik heb het dan ook niet aangekaart, maar was wel benieuwd of daar iets over te vinden is.
Via google (inbrekers testen beveiliging) vond ik in ieder geval dit: http://tvblik.nl/de-inbreker
Enige direct relevante voorbeeld dat ik kon vinden en een mager bronnetje misschien, maar het is er 1 :D. Aan Bartjezz dan maar om dat aan te vullen.
mphilipp @Covinet10 februari 2012 18:17
Ik kan er een noemen, maar dan zit ik morgen op het p-buro... :+
Limaad @mphilipp10 februari 2012 19:37
Of sta je op het podium 310K te innen..
Het is net het moment waarop je het lek verteld ;)
Pep7777 @Kobus Post10 februari 2012 17:19
Ehm weinig, want je "arbeidscontract" word gehackt? :P
(niet echt relevant maar in melige bui)

[ontopic]
Toch vind ik het wel een goed idee van google, mensen echt laten zoeken naar bugs. Mensen buiten je bedrijf/omgeving denken toch weer anders na en zien gaten waar je zelf misschien niet eens aan dacht.

Maarja als iedereen mag hacken, hoe doen ze het dan met herkennen van connecties die echt aan het hacken zijn? Ik kan me zo voorstellen dat er individuen/organisaties zijn die nog meer kunnen verdienen door het NIET aan google te vertellen?
Of hoor je je van tevoren aan te melden?
Loller1 @Pep777710 februari 2012 18:02
Dat "idee" kwam dus niet van Google. Ik zeg het almaar voordat we oer enkele maanden zitten met "Pff, dat hebben ze van Google overgenomen!"-reacties.
mphilipp @Loller110 februari 2012 18:19
Het is iets dat eigenlijk al zo oud als het hacken zelf is. Er zijn tal van hackers in dienst genomen na een succesvolle hack. Hackers worden vaker uitgedaagd. Maar ja, dit is Google en ze betalen er nu voor, dus is het nieuws... ;)
Iblies @Loller110 februari 2012 18:50
Voor zover ik of het kan herinneren is mozilla er mee begonnen in 2004
http://mozilla.org/en-US/press/mozilla-2004-08-02.html
En als je even nadenkt is het een relatief goedkope manier om niet alleen problemen op te lossen, je kunt ook de skills van je eigen programmeurs controleren en kijken of er nog iets aan je eigen controlemethodieken kan worden verbeterd. Binnen een organisatie kan er soms tunnelvisie optreden om een product te snel uit te brengen terwijl dat helemaal niet verantwoord is.

Maar zoals eerder aangegeven, google is hier niet uniek in, bovenstaande doet het al hartstikke lang, facebook doet het ook, microsoft idd, hp profiteert er ook van.
dasiro @Kobus Post10 februari 2012 19:17
die geven nix voor/om bugs, dus waarom zou je ze gaan melden :+ gewoon lekker misbruiken :(
chrisborst @Jeoh10 februari 2012 18:39
Kijk, dit bericht is wel perfect getimed. Precies wat de hackers "gratis" bij Kpn hebben gedaan, wordt betaald bij Google. Ik denk dat veel bedrijven/overheden hier een voorbeeld aan kunnen nemen. Waarom zou je de kennis van hackers niet gebruiken voor goede dingen. Ik moet meteen denken aan de film "catch me if you can" ook een crimineel die voor de overheid gaat werken.
Uiteindelijk zullen de meeste hackers het niet doen om kwaad te willen, maar enkel om te kijken of het kan en daar een kick uit krijgen.
trisje @Jeoh10 februari 2012 23:43
waarom staat zo domme opmerking eigenlijk in het groen. on topic
Ik vind de beloning best wel mager 400 euro voor soms weken speuren naar een lek.
MxD 10 februari 2012 17:46
Goede zet van Google, 'vriendjes' worden met de hackers. Dat zouden meer bedrijven moeten doen ipv gelijk over gaan tot aangifte*.

*er vanuit gaande dat het hackpogingen zijn zonder winstbejag.
Verwijderd 10 februari 2012 20:37
Gelukkig ook weer eens een bericht waarin hackers op een positieve manier in het nieuws komen. De laatste tijd hoor je bijna alleen maar van hacks waarbij persoonsgegevens of andere gevoelige bedrijfsinformatie ontvreemd worden.

Dit bericht laat duidelijke zien waar hacken echt voor bedoeld is. Er kan geen discussie over zijn dat deze hackers de verbetering van de software op het oog hebben. Helaas is dat niet bij alle nieuwsberichten zo duidelijk...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq